Interessantes aus den Medien
Jetzt herunterladen!
Die Zeiten, in denen lediglich Konzerne von Cyberattacken betroffen waren, sind vorbei – das registrieren auch viele Entscheider in kleinen und mittleren Unternehmen. Wie sieht also ein wirksamer Schutz gegen die Bedrohung aus dem Netz aus?
Die Schäden, die Cyberkriminelle in Unternehmen aller Branchen, darunter viele kleine und mittlere Unternehmen (KMU), anrichten, sind immens. Da die meisten Vorfälle nicht an die Öffentlichkeit gelangen, sprechen Fachleute vage von Milliardenbeträgen. Das Vorgehen der Hacker gleicht sich: Ransomware einschleusen, zentrale Unternehmensdaten verschlüsseln, Lösegeld fordern, Lösegeld kassieren – und dann hoffentlich das versprochene Passwort zur Entschlüsselung liefern.
Die Taktik geht auf, weil es für Betroffene „billiger“ ist, das Passwort zu zahlen, als den Datenverlust auszugleichen. Würden IT-Systeme hinreichend geschützt, hätten Angreifer weniger Erfolg. Was sollten KMU hier also tun? Die Regelwerke ISIS12 und ISO 27001 zeigen Möglichkeiten auf.
Guter Einstieg für IT-Sicherheit in KMU
ISIS12 vom Netzwerk für Informationssicherheit im Mittelstand entwickelt und Ende 2012 vom Bayerischen IT-Sicherheitscluster herausgegeben. Das Regelwerk bietet einen übersichtlichen Rahmen für ein wirksames Informationssicherheits-Managementsystem (ISMS). Die Implementierung erfolgt in drei Phasen und zwölf Schritten:
Senden Sie uns Ihre Fragen zu - oder fordern Sie kostenfrei ein Angebot an.
Das Regelwerk kann in Eigenregie implementiert werden. Hier stehen ein Handbuch und eine Implementierungs-Software zur Verfügung. Bei Bedarf kann die Einführung auch von einem zugelassenen ISIS12-Berater begleitet werden. Auf Wunsch erfolgt danach die Zertifizierung des ISMS durch den Exklusivpartner des Bayerischen IT-Sicherheitsclusters, der DQS.
ISO 27001 ergänzt ISIS1212
ISIS12 wird zurzeit überarbeitet, die Version 2.0 wird für Ende 2019 erwartet. Dahinter steht unter anderem die Absicht, den Übergang zu ISO 27001 zu erleichtern. Dies entspricht dem Bedarf vieler Anwender, die nach einem Einstieg über ISIS12 einen höheren Schutzbedarf ihrer IT-Systeme erkennen.
ISIS12 2.0 wird folgerichtig die ISO-Norm zur Basis haben. Den Schritten 8 und 10 bis 12 werden Anforderungen hinzugefügt, die die Migration auf ISO 27001 erleichtern sollen. Die ISO-Norm taucht damit deutlich tiefer in die Materie ein, als es für viele KMU notwendig erscheint. Komplexe IT-Strukturen können sich aber auch in kleineren Betrieben entwickeln. In diesen Fällen ist die ISO-Norm die erste Wahl.
Optimaler Schutz komplexer IT-Strukturen mit ISO 27001
Die ISO 27001 erstmals im Jahr 2005. Seit 2013 folgt die Norm der sogenannten High Level Structure, der gemeinsamen Grundstruktur für ISO-Managementsystemnormen, was die Integration in vorhandene Managementsysteme leichter macht. Die aktuelle Version liegt seit Juni 2017 in deutscher Sprache vor.
Der allgemeine Nutzen von ISO 27001 bezieht sich nicht nur auf die Unternehmens-IT, sondern umfasst auch Aspekte wie physische Sicherheit, Personalmanagement, Rechtssicherheit und Organisation. Ein Überblick der Vorteile:
Hilfreich beim Festlegen und Erreichen von Zielen des ISMS ist unter anderem der Norm-Anhang A mit einer Liste von 114 praxisnahen Sicherheitskontrollen. Zu beachten ist, dass nicht zwangsläufig jede dieser Kontrollen zum Tragen kommen muss.
Mit welchem Aufwand müssen Sie rechnen, um Ihr Informationssicherheits-Managementsystem nach ISO 27001 zertifizieren zu lassen? Informieren Sie sich kostenfrei und unverbindlich.
Wie die Sicherheitskontrollen durchzuführen sind, entscheidet das jeweilige Unternehmen selbst – so wie die Anforderungen von ISO 27001 generell eher allgemein formuliert sind, um individuelle Situationen zu berücksichtigen. KMU und vergleichbare öffentliche Verwaltungen sollten sich zum Einstieg in die Informationssicherheit zunächst mit ISIS12 beschäftigen, da deren Bedarf mit diesem Regelwerk meist gedeckt werden kann.
Argumente für ISIS12 sind der übersichtliche Rahmen sowie die Möglichkeit, das Regelwerk in Eigenregie zu implementieren. Zu ISO 27001 sollten KMU dann greifen, wenn ihre IT-Struktur einen Grad an Komplexität aufweist, der umfangreichere Risikobetrachtungen erfordert. ISO 27001 bietet einen flexiblen Rahmen, den ein KMU nach seinen speziellen Bedürfnissen auf hohem Sicherheitsniveau ausfüllen kann.
André Säckel
Experte und Produktmanager für Informationssicherheit
DQS GmbH
Informationssicherheitsmanagement – Besuchen Sie auch den DQS Blog: